何十年もの間、内部脅威とは不満を抱えた従業員や不注意な請負業者を意味していました。今日、その状況は根本的に変化しています。
FBIと司法省は、北朝鮮のIT工作員が高度な身元盗用を用いて西側企業に侵入し、体制のために年間推定6億ドルを生み出す一方で、国家支援の攻撃のためのバックドアを設置しているとして、緊急の警告を発しています。
DPRKは2つの異なる侵入手法を用います。第1の手口は、長期潜伏者が正規のリモート職を確保し、追跡不能な収益を得るとともに管理者アクセスを確立するものです。
これらの工作員は、企業インフラ内に永続化の仕組みをひそかに構築しながら、数か月にわたり職務を遂行する場合があります。
第2の手口では、正規のソフトウェア企業を装った偽のフロント企業が用いられます。候補者はスキル評価に参加しますが、最終的には悪意のあるコードの実行を求められるようになり、計算された欺瞞によって個人だけでなく組織全体が侵害されます。
従来のセキュリティスタックは、資格情報だけで身元を確認します。労働者が有効な社会保障番号を提示し、身元調査を通過し、AI駆動のディープフェイク技術を用いたビデオ面接をクリアすれば、システムアクセスを得られてしまいます。
オンボーディング後、ログには、Silent Pushが報告しているように、西側の住宅用IPアドレスを使用し、郊外の場所から働く「ローカル」の従業員が記録されます。
DPRKは、多層のプロキシチェーンを介してトラフィックを中継することで、標準的なジオフェンシングを突破します。接続を国内の「ホップ」――米国内にある物理デバイス――経由で流すことで、これらの工作員は正規のリモートワーカーと見分けがつかなくなります。
仮想マシンではなく実機ハードウェアを使用することで、MACアドレスチェックやデバイス姿勢評価を通過でき、住宅用IPという誤認、身元調査の抜け穴、ハードウェア真正性の罠という3つの重大な可視性ギャップを生み出します。
給与支払い対象としてDPRK工作員が発見された場合、その影響は解雇にとどまりません。組織は、制裁対象の体制に意図せず資金提供してしまうことによるOFAC制裁違反の可能性、独自コードが持ち出されることで避けられない知的財産の損失、そして包括的なインフラ監査を要する高額なインシデント対応に直面します。
組織は従来の身元調査を超え、リモート従業員が申告どおりの場所に物理的に所在していることを検証しなければなりません。
翻訳元: https://cyberpress.org/dprk-remote-workers-fake-identities-system-access/